СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
31 марта
#ИБ

ResokerRAT: управление через Telegram, кейлоггинг и скрытность

ResokerRAT — это Trojan Remote Access, использующий Telegram как канал управления и обмена данными. Такой подход позволяет злоумышленникам удаленно отслеживать зараженные системы и управлять ими без использования традиционной инфраструктуры command-and-control servers.

Ключевые особенности ResokerRAT

По данным отчета, malware сочетает в себе механизмы закрепления, повышения привилегий и уклонения от обнаружения. При этом он сохраняет широкий набор возможностей для мониторинга системы и скрытной удаленной эксплуатации.

  • создает mutex с именем Global ResokerSystemMutex, чтобы предотвратить запуск нескольких экземпляров;
  • пытается перезапуститься с правами administrator через ShellExecuteExA;
  • отправляет информацию о сбоях обратно на server управления;
  • использует анти-analysis techniques, отслеживая запущенные процессы и отключая security tools, обнаруженные через Process32NextW API;
  • применяет SetWindowsHookExW для global keyboard hook;
  • поддерживает remote commands, включая создание screenshots;
  • использует registry modifications для закрепления и управления системными функциями.

Закрепление и повышение привилегий

После запуска ResokerRAT создает Global ResokerSystemMutex, который блокирует повторный старт вредоносного процесса. Затем он пытается повысить привилегии, используя ShellExecuteExA, чтобы перезапустить себя с правами administrator. Если попытка неудачна, malware сообщает об ошибке на свой server управления.

Для закрепления в системе вредоносное ПО изменяет значения Windows Registry, добавляя путь к своему executable file в раздел Run. Это гарантирует автоматический запуск при старте system. Отдельно отмечается, что ResokerRAT может временно отключать Windows Task Manager через registry manipulation, а затем восстанавливать его работу, чтобы снизить вероятность обнаружения.

Антианализ и скрытность

Одной из заметных особенностей ResokerRAT является использование anti-analysis techniques. Вредонос отслеживает процессы с помощью Process32NextW API и пытается отключать обнаруженные security tools. Такой подход помогает ему усложнить анализ и повысить устойчивость к проверке со стороны защитных решений.

Кроме того, RAT применяет скрытые методы работы с вводом: вместо полного логирования каждого нажатия клавиши он отслеживает определенные key combinations и блокирует отдельные input events. Это позволяет ограничить видимость своих действий и одновременно собирать полезную для злоумышленников информацию.

Удаленное управление и сбор данных

ResokerRAT поддерживает набор remote commands. Одна из них предназначена для создания screenshots: для захвата текущего экрана используется PowerShell, после чего изображение сохраняется в заданной папке. Процесс выполняется в background mode и не сопровождается заметными для пользователя признаками.

Наличие команды /download позволяет загружать дополнительные payloads из Интернета. При этом также используется скрытая PowerShell command, чтобы минимизировать вероятность того, что пользователь заметит происходящее.

Telegram bot API как канал связи

Обмен командами и данными между зараженной системой и злоумышленником реализован через Telegram bot API. Отчет указывает, что передача данных кодируется, а сам RAT периодически проверяет наличие новых instructions. Такой механизм обеспечивает постоянный обмен сообщениями и повышает operational stealth.

Иными словами, Telegram здесь выступает не просто мессенджером, а полноценной транспортной средой для управления зараженными устройствами.

Соответствие MITRE ATT&CK

С точки зрения технического поведения ResokerRAT соответствует нескольким техникам MITRE ATT&CK, включая:

  • Indirect Command Execution через PowerShell;
  • Registry Run Keys / Startup Folder для закрепления;
  • Encrypted Channel для обмена control data.

Вывод

ResokerRAT демонстрирует сложную и многослойную архитектуру, сочетающую скрытность, закрепление в системе, управление через Telegram и возможность удаленного выполнения вредоносных команд. Его способность менять системные настройки без согласия пользователя и обходить защитные механизмы делает этот Trojan заметной угрозой в сценариях remote monitoring и remote exploitation.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: